Беспрецедентная защита конфиденциальной информации

Больше всего компании боятся утечки конфиденциальных данных, составляющих коммерческую тайну, будь то стратегические планы или реальные объемы продаж. Последнее время широкое распространение получили механизмы управления доступом к документам на базе разрешений, такие как детализированный доступ (discretionary access control, DAC, позволяет сетевым администраторам избирательно предоставлять пользователям возможность управления доступом к ресурсам) и фиксированный доступ (mandatory access control, MAC, не допускает передачи разрешений на доступ между пользователями). Эти традиционные методы позволяют ограничить получение защищенной информации неавторизованными пользователями, но при этом обладают существенным недостатком как только легитимный пользователь получил доступ к документу, он может делать с ним все, что угодно: распечатать, скопировать на дискету или другие носители либо переслать по электронной почте.

Решение этой проблемы предлагает служба управления правами доступа к информации Microsoft Windows Rights Management Services (RMS) для серверов Windows 2003. Основой технологии RMS является расширяемый язык разметки прав доступа XrML (Extensible Rights Markup Language) версии 1.2.1. (В настоящее время доступна версия 2.0. Прим. ред.) Разметка XrML позволяет серверному и клиентскому компонентам, которые работают совместно с приложениями RMS, обеспечивать проверку правомочности доступа и защиту документов, электронной почты и даже контента Internet-сайтов. RMS позволяет создавать политики использования документов, определяющие, кто имеет право доступа к защищенному (конфиденциальному) контенту, какие действия авторизованный пользователь вправе выполнять с документом (сохранять, распечатывать, пересылать, редактировать, отвечать). Кроме того, RMC устанавливает срок действия разрешений пользователя сколько дней пользователь имеет право выполнять указанные действия над документом. В лицензии публикации (publishing license) хранится описание политик доступа. Здесь же хранится 128-разрядный ключ AES, которым защищены контент документа и адрес URL сервера лицензирования RMS (licensing server), который может выдать лицензию на использование (use license) контента. Часть лицензии публикации также зашифрована для защиты части наиболее важной информации. При попытке открытия защищенного контента в RMS-приложении приложение обращается к серверу RMS, указанному в лицензии публикации, для получения разрешения на использование защищенного контента. Далее приложение использует полученную лицензию для предоставления конкретному лицу возможности работать с контентом в соответствии с правами, описанными в лицензии на использование. Для получения лицензии на использование необходимо сначала получить действующий сертификат учетной записи управления доступом XrML RAC (Rights Management Account Certificate). Этот сертификат выдает особый сервер сертификации RMS (RMS certification server) впрочем, функции лицензирования и сертификации могут быть объединены на одном физическом сервере. Все действия по получению сертификата доступа RAC, если пользователь еще не имеет собственного сертификата, направляются RMS-приложением. Если на компьютере пользователя отсутствуют приложения, поддерживающие технологию RMS, можно установить модуль расширения RMA (Rights Management Add-on) для Internet Explorer. Этот бесплатный модуль расширения позволяет просматривать защищенный документ без возможности редактирования. Из приведенной схемы работы RMS очевидно, что, если организация планирует взять на вооружение RMS, до начала внедрения системы необходимо тщательно спланировать и проработать все аспекты использования технологии.

Планирование установки

Microsoft спроектировала RMS как технологию, единую для всего леса AD, так что большинство организаций используют только одну иерархию RMS на весь лес AD. При этом можно построить кластер серверов RMS для распределения нагрузки и обеспечения отказоустойчивости, а также настраивать иерархии для географически распределенных сетей.

При планировании инфраструктуры RMS в первую очередь необходимо определить вид использования RMS будет ли технология применяться исключительно в рамках данной организации или же ею предстоит пользоваться и внешним клиентам и партнерам. RMS позволяет указывать для каждого сервера RMS по два локатора ресурсов (URL): один для использования в корпоративной сети предприятия, другой для предоставления услуг внешним пользователям через Internet. Адрес URL для корпоративной сети указывается в момент установки, и изменить его потом достаточно сложно. По умолчанию при установке предлагается создать адрес, совпадающий с именем сервера, на котором система устанавливается. Я не рекомендую так делать, поскольку это создает трудности при дальнейшем формировании кластеров и замене вышедших из строя систем. Лучше всего создать запись DNS A или CNAME для сервера RMS, после чего записи присваивается полностью определенное доменное имя (FQDN, Fully Qualified Domain Name) в качестве локатора URL корпоративной сети. Значение локатора URL для внешней сети, которое определяется после завершения установки, можно изменить в любое время.

Необходимо решить вопрос о размещении первого сервера RMS, поскольку этот сервер станет и сервером сертификации RMS. Серверный компонент RMS представляет собой Web-службу, использующую для работы Windows .NET Framework, она может взаимодействовать с любой версией Windows Server 2003; для работы требуется установить Microsoft IIS 6.0, ASP .NET и службу очередей сообщений Microsoft Message Queue Services (MSMQ). Клиентский компонент RMS может выполняться на любой версии Windows, начиная с Windows 98 Second Edition; для коммуникаций с серверным компонентом RMS использует стандартные протоколы HTTP и HTTPS (HTTP Secure), при этом коммуникации являются защищенными вне зависимости от того, используется HTTPS или HTTP. Для работы сервера RMS требуется ADO-совместимая база данных, например Microsoft SQL Server 2000 (желательно с пакетом обновлений SP3 или более новым). База данных служит для хранения конфигурации и журналов, а также для кэширования расширенных списков рассылки DL (distribution list). RMS и сервер баз данных должны принадлежать одному и тому же домену. Клиенты обращаются к серверу сертификации при активации и в момент получения RAC. При аутентификации пользователей сервер сертификации RMS обращается к серверу глобального каталога GC, к службе Microsoft Enrollment Service при развертывании и обновлении собственного сертификата лицензедателя и к службе активации для активации клиентов RMS. При этом сервер RMS обращается к обеим службам через Internet. Сервер сертификации RMS также играет роль сервера лицензирования для выпуска лицензий публикаций и использования, так что он должен быть достаточно надежен для обеспечения защиты информации о лицензировании RMS. Таким образом, сервер RMS должен быть помещен в центральное, физически защищенное от доступа посторонних место, поближе к серверу глобального каталога GC и серверу баз данных, имеющее хорошие соединения с клиентами по локальной сети и Internet. Специалисты Microsoft рекомендуют размещать сервер RMS на отдельном сервере.

Для работы с RMS необходимо соответствующим образом настроить учетные записи пользователей в AD. RMS не требует для работы обязательного применения почтового сервера Microsoft Exchange Server, но, поскольку пользователи идентифицируются по адресам электронной почты, каждый пользователь RMS должен иметь в AD собственную уникальную учетную запись с соответствующим адресом. Если в компании установлен сервер электронной почты Exchange Server 2000 или более поздняя его версия, то адреса электронной почты пользователей в AD можно добавить автоматически с помощью инструментов Exchanges Recipient Policies (политики получателей Exchange) и Recipients Update Service (RUS, службы обновления получателей). Некоторые другие системы электронной почты (например, служба POP3 в Windows 2003) также могут добавлять в пользовательские учетные записи в AD адреса электронной почты. Если же имеющаяся система электронной почты не поддерживает автоматическое добавление адресов в AD, потребуется ввести адреса вручную или разработать соответствующий сценарий.

Чтобы можно было начать использовать RMS, в AD должен быть опубликован объект serviceConnectionPoint, указывающий адрес сервера сертификации RMS, это может сделать администратор домена, обладающий соответствующими полномочиями в AD. Объект предназначен для того, чтобы клиенты и приложения могли обнаружить сервер сертификации RMS для активации клиента и запросить RAC для пользователя. Если организации требуется установить множественные иерархии RMS в лесу AD или же по каким-то причинам публикация объекта serviceConnectionPoint в AD нежелательна, соответствующие настройки можно выполнить в реестре на компьютерах пользователей. Настройки в пользовательском реестре зависят от установленного приложения RMS; инструкции по настройке приложений Office 2003 можно найти в документации Microsoft Office 2003 Editions Resource Kit.

Чтобы воспользоваться преимуществами RMS, необходимы соответствующие приложения, поддерживающие технологию RMS, такие как Office System 2003 или RMA с Internet Explorer 5.5 (или более поздние версии). Для независимых разработчиков и компаний, заинтересованных в создании собственных приложений RMS, существует инструментарий разработки SDK, загружаемый с сайта компании. RMA можно загрузить со страницы http://www.microsoft. com/windows/ie/downloads/addon/default.asp.

К этой статье пока нет комментариев


Чтобы добавить свой комментарий необходимо зарегистрироваться на сайте